Risultati dei test indipendenti – Firewall per Internet

Torna a Home

Firewall – Protezione bidirezionale sicura

Il vostro firewall per Internet personale deve essere in grado di proteggervi dalle minacce in arrivo quali hacker, e dagli attacchi in uscita, quali trojan horse che tentano di trasmettere i vostri dati personali. Questi 20 test diversi sono stati eseguiti utilizzando firewall indipendente e disponibile al pubblico, Firewall Leak Tester.

Confrontato con Norton, McAfee e Microsoft, il firewall ZoneAlarm era l’unico firewall per Internet personale che è riuscito a fermare tutti e 20 gli attacchi.

Confronto dei risultati dei test sui firewall

Test
(clic nome del test per ulteriori informazioni)
ZoneAlarm
Norton®
McAfee®
Microsoft®
X
X
 
 
Tooleaky apre il vostro browser Web predefinito con una riga di comando. Se il browser Web può accedere alla porta 80, è possibile trasmettere tutti i dati a un indirizzo remoto, incluse eventuali password e numeri di carta di credito. Se il firewall non supera il test, ciò indica che non controlla gli applicativi che lanciano altri applicativi.
X
 
X
 
FireHole utilizza il vostro browser Web predefinito per trasmettere i dati a un host remoto. Per far ciò, installa un file DLL sul PC nello stesso spazio di elaborazione in cui è già presente un applicativo fidato, in modo da avere una maggiore probabilità di accedere a Internet senza essere rilevato. Se il firewall non supera il test, ciò indica che non controlla gli applicativi che lanciano altri applicativi e che è vulnerabile alle introduzioni di DLL.
Leaktest è stato concepito per testare se basta rinominare un programma malevolo con il nome di un altro applicativo autorizzato per permettergli di aggirare il firewall. Se il firewall non supera il test, ciò indica che esso considera le applicazioni fidate in base al nome (caratteri) invece di un’impronta digitale cifrata come ad esempio MD5 (Message-Digest algorithm 5), una funzione hash di cifratura molto diffusa, caratterizzata da una funzione hash a 128 bit.
X
 
 
 
Su XP tutte le richieste DNS dai vari applicativi sono trasmesse al client DNS (SVCHOST.EXE). Questo comportamento può essere utilizzato per trasmettere dati a un computer remoto creando una richiesta DNS speciale senza che il firewall la noti. DNStester utilizza questo tipo di richiesta ricorsiva DNS per aggirare il firewall. Se il firewall non supera questo test, ciò indica che non verifica tempestivamente le richieste DNS.
X
 
 
 
In genere, quando un applicativo accede a Internet, il firewall utilizza l’API Windows per recuperare il parent PID. Ghost cambia il PID arrestandosi e riavviandosi per continuare ad inviare dati. Se il firewall non supera questo test, ciò indica che non esegue tempestivamente il monitoraggio dell’accesso di rete parent/child.
X
 
 
 
Molti firewall identificano un comando diretto ShellExecute o CreateProcess quando richiamano Internet Explorer assegnando dei parametri. Per evitare questo problema, Surfer crea un desktop nascosto e lanciare al suo interno IE senza url, quindi senza accesso in rete. Lancia quindi un’altra istanza di se stesso e chiude la prima. Utilizza infine il protocollo DDE (Direct Data Exchange). DDE è un vecchio protocollo per lo scambio di dati tra processi (molto simile a OLE). Netscape ha sviluppato un’interfaccia DDE per il suo browser e tutti quelli principali, incluso IE. I parametri vengono resi disponibili a IE tramite DDE, e non tramite un richiamo diretto durante il suo lancio.
Yalta offre un test classico e uno avanzato. Il test classico cerca di inviare pacchetti UDP verso porte che spesso sono aperte, per esempio 53 (DNS) o 21 (FTP). Il test avanzato utilizza un driver per inviare i pacchetti direttamente all’interfaccia di rete, aggirando il livello TCP/IP. Se il firewall non supera questo test, ciò indica che può permettere del traffico che non è stato avviato dall’utente su porte preconfigurate.
X
X
 
 
OutBound cerca di inviare pacchetti TCP con alcune flag attivate direttamente alla rete, cercando di aggirare il firewall. Per conservare le risorse di CPU e del sistema, molti firewall non filtrano questo tipo di pacchetti. Se il firewall non supera questo test, ciò indica che non esegue verifiche a livelli più bassi del livello IP Windows o che verifica solo i nuovi collegamenti.
X
 
 
 
Copycat utilizza l’iniezione diretta del codice (senza creare un thread aggiuntivo) in un browser Web per evitare il rilevamento da parte del firewall. Se il firewall non supera questo test, ciò indica che il firewall è suscettibile all’introduzione di processi.
X
 
X
 
Thermite inietta il proprio codice direttamente nel processo target, creando all’interno del processo un thread aggiuntivo che è completamente invisibile per alcuni firewall. Se il firewall non supera questo test, ciò indica che il firewall è suscettibile all’introduzione di processi.
PCAudit utilizza un metodo di introduzione di DLL per infiltrare il proprio codice (come DLL) in applicazioni autorizzate. Se il firewall non supera questo test, ciò indica che il firewall è suscettibile all’introduzione di DLL.
X
X
 
 
PCAudit2 utilizza un metodo di infiltrazione di DLL rispetto alla prima versione di PCAudit per raggirare i firewall che bloccano PCAudit. Se il firewall non passa questo test, ciò indica che è vulnerabile all’introduzione di DLL o che ha una funzione di protezione dalle iniezioni che non è efficiente.
WallBreaker utilizza explorer.exe per accedere a Internet. Include una variante di test che avvia cmd.exe, il quale a sua volta avvia explorer.exe. In un altro test Wallbreaker imposta un’attività programmata utilizzando “AT.exe”, il quale a sua volta esegue l’attività tramite “svchost”, creando un file batch (con estensione di file “.bat”) con un nome di file casuale nella directory.
MBtest invia pacchetti direttamente alla scheda di rete cercando di aggirare il firewall. A tal fine, invia vari tipi di pacchetti di dimensione, protocollo e categoria diversi. In teoria MBtest potrebbe copiare i file necessari da solo senza che sia necessario riavviare il computer. Se il firewall non supera questo test, ciò indica che potrebbe controllare solo il traffico di rete di alto livello, saltando i livelli più bassi.
X
 
X
X
AWFT include 10 test, tra cui (1) cercare di caricare una copia del browser predefinito e di inserirlo in memoria prima che venga eseguito, creando un thread su una copia caricata del browser predefinito, (2) creare un thread su Windows Explorer, (3) cercare di caricare una copia del browser predefinito dall’interno di Windows Explorer e di inserirlo in memoria prima di avviarlo, (4) eseguire una ricerca euristica per eventuali proxy e altro software autorizzato ad accedere a Internet sulla porta 80, quindi caricarne una copia e inserirla in memoria prima di avviarla da un thread su Windows Explorer e (5) eseguire una ricerca euristica per eventuali proxy e altro software autorizzato ad accedere a Internet sulla porta 80, quindi richiedere all’utente di selezionarne uno per creare un thread sul processo selezionato.
X
 
 
 
Breakout invia un URL alla barra degli indirizzi di Internet Explorer (IE) attraverso la API di Windows 'SendMessage' per cercare di avviare tale URL. Se il firewall non supera questo test, ciò indica che non verifica i “messaggi” inviati dalle finestre degli applicativi.
X
 
 
 
Breakout2 crea una pagina HTML locale che punta al proprio URL di destinazione. Quindi abilita Active Desktop e invia la propria pagina HTML come sfondo del desktop. Se il firewall non supera questo test, ciò indica che non controlla l’eventuale abuso di Active Desktop.
X
 
 
 
CPIL tenta di trovare explorer.exe ed esegue un patch nella sua memoria. Quindi tenta di trasmettere dati con il file infettato explorer.exe a server remoti utilizzando il browser predefinito. Se il firewall non supera questo test, ciò indica che potrebbe non essere in grado di monitorare iniezioni di codice sospette.
X
 
X
 
Invece di modificare direttamente la memoria del processo di destinazione, Jumper fa caricare al processo di destinazione stesso la propria DLL estranea. Per far ciò, Jumper scrive alla voce di registro 'AppInit_DLLs' e quindi interrompe explorer.exe, il quale viene riavviato automaticamente da Windows. Quando è all’interno, la DLL di Jumper modifica la voce di registro relativa alla pagina di avvio di Internet Explorer (IE) inserendo tutti i dati che desidera trasmettere, e quindi avvia IE. Se il firewall non supera questo test, ciò indica che non esegue il monitoraggio di voci di registro critiche.
X
X
 
 
PCFlank utilizza l’automazione OLE per verificare il modo in cui il firewall gestisce la situazione in cui un programma cerca di gestire il comportamento di un altro programma (fidato). Se il firewall non supera questo test, ciò indica che è inaffidabile e che è necessario prendere ulteriori precauzioni per proteggere il computer.

Nota: questi test sono stati eseguiti utilizzando programmi freeware disponibili al pubblico. Sono state utilizzate le seguenti versioni dei prodotti: ZoneAlarm® Internet Security Suite 7.0 beta1, Norton Internet Security Suite v7.1, McAfee Internet Security v9 versione di prova, MS Windows Live OneCare v1.1.1067.8 con Windows Defender. Si ritiene che l’elenco di test di vulnerabilità sia corretto ma non esaustivo, in base alle prove eseguite durante la settimana del 26 ottobre 2006. I test sono stati eseguiti utilizzando Windows XP SP2 con tutti gli aggiornamenti Microsoft. Il controllo programmi ZoneAlarm® era impostato sul livello massimo, l’impostazione adottata dalla maggior parte degli utenti, automaticamente oppure dopo un breve periodo di apprendimento.

Per garantire un test di infiltrazione preciso dei firewall, ogni prodotto per la sicurezza ha disattivato l’opzione di protezione antivirus (non firewall). Il motivo di questa scelta è che la funzione antivirus in alcuni prodotti ha disattivato i test di infiltrazione per talune minacce senza peraltro bloccare le minacce stesse, portando a risultati sui test imprecisi.

Ulteriori informazioni

Fermate gli attacchi che la concorrenza non vede
segno di stop Scoprite in che modo ZoneAlarm vi protegge dalle minacce più note.

Ulteriori informazioni

Premiazioni ZoneAlarm
premiazioni Da svariate pubblicazioni del settore che conducono test, valutazioni e recensioni proprie.

Ulteriori informazioni

ZoneAlarm Internet Security Suite 2009
Internet Security Suite 2009 Impedisce che software dannoso infetti il vostro computer grazie a svariati livelli di protezione.

Ulteriori informazioni